- •I. Введение
- •II. Работа с инструментами диагностики и лечения
- •Описание HiJackThis и работа с ней
- •Вступление
- •Предупреждение
- •Назначение
- •Начало работы
- •Раздел Misc Tools.
- •Описание avz и работа с ней
- •Ключевые компоненты avz
- •Главное окно программы
- •Меню «Файл»: avz как единый инструмент
- •1. Функции анализа и восстановления
- •2. Функции скриптового движка
- •3. Обновление баз
- •4. Функции карантина
- •5. Отложенное удаление файла
- •Меню «Сервис»: диспетчеры и менеджеры avz
- •1. Общие характеристики диспетчеров и менеджеров avz
- •2. Подсистемы поиска
- •3. Прочие инструменты
- •AvzGuard
- •Boot Cleaner
- •III. Основы диагностики
- •1. Подготовка
- •2. Протокол hjt
- •3. Протоколы avz
- •Чтение протоколов HiJackThis
- •Анализ лога
- •Чтение протоколов avz
- •1. Цветовая схема
- •2. Состав таблиц
- •1) Список процессов (данные Диспетчера процессов)
- •2) Модули пространства ядра (данные одноименного диспетчера)
- •3) Службы (данные Диспетчера служб и драйверов, часть 1)
- •4) Драйверы (данные Диспетчера служб и драйверов, часть 2)
- •5) Автозапуск (данные Менеджера автозапуска)
- •6) Модули расширения Internet Explorer (bho, панели…) (данные Менеджера расширений ie)
- •7) Модули расширения проводника (данные Менеджера расширений проводника)
- •8) Модули расширения системы печати (данные Менеджера расширений системы печати)
- •9) Задания планировщика задач Task Scheduler (данные Менеджера планировщика задач Task Scheduler)
- •10) Настройки spi/lsp (данные Менеджера Winsock spi)
- •11) Порты tcp/udp (данные диспетчера «Открытые порты tcp/udp»)
- •12) Downloaded Program Files (данные Менеджера Downloaded Program Files)
- •13) Апплеты панели управления (cpl) (данные Менеджера апплетов панели управления)
- •3. Общие сведения
- •4. Поиск RootKit и программ, перехватывающих функции api (в соавторстве с Олегом Зайцевым)
- •1.1 Поиск перехватчиков api, работающих в UserMode
- •1.2 Поиск перехватчиков api, работающих в KernelMode
- •1.2 Поиск перехватчиков api, работающих в KernelMode
- •1.3 Проверка idt и sysenter
- •1.4 Поиск маскировки процессов и драйверов
- •1.4 Поиск маскировки процессов и драйверов
- •1.4 Поиск маскировки процессов и драйверов
- •5. Проверка памяти
- •2. Проверка памяти
- •6. Сканирование дисков
- •3. Сканирование дисков
- •7. Проверка Winsock Layered Service Provider
- •4. Проверка Winsock Layered Service Provider (spi/lsp)
- •4. Проверка Winsock Layered Service Provider (spi/lsp)
- •8. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские dll)
- •5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские dll)
- •9. Поиск открытых портов tcp/udp, используемых вредоносными программами
- •6. Поиск открытых портов tcp/udp, используемых вредоносными программами
- •10. Эвристическая проверка системы
- •7. Эвристичеcкая проверка системы
- •11. Поиск потенциальных уязвимостей
- •8. Поиск потенциальных уязвимостей
- •8. Поиск потенциальных уязвимостей
- •12. Мастер поиска и устранения проблем
- •9. Мастер поиска и устранения проблем
- •9. Мастер поиска и устранения проблем
- •Критерии вредоносности файла
- •Зоны особого внимания
- •Примечание
- •Дополнительная диагностика
- •Работа со списком заподозренных файлов
- •Извлечение файлов и их анализ
- •Если файл не удается поместить в карантин
- •1) Попытаться выполнить карантин в безопасном режиме.
- •3) Попробовать применить специализированный антируткит (например, IceSword, позволяющий копировать скрытые и защищенные файлы).
- •Vms@drweb.Com
- •Virus_malware@avira.Com
- •IV. Лечение
- •Лечение с помощью HiJackThis
- •Лечение с помощью avz
- •1. Удаление файлов
- •2. Восстановление системы и исправление ошибок
- •1. Настройки spi/lsp
- •1) Ручной.
- •2. Файл hosts
- •3. Эвристическая проверка системы
- •4. Мастер поиска и устранения проблем
- •Восстановление системы по жалобам пользователя
- •3. После лечения
- •Если вредоносное программное обеспечение восстанавливается после удаления
- •1) Убедитесь, что Восстановление системы Windows отключено.
- •Если лечение прошло успешно
- •Чего не следует делать уважающему себя и других антивирусному консультанту
- •3) Выполнять ненужные / бесполезные для обрабатываемого случая операции
- •6) Содействовать поиску и использованию вредоносного и / или взломанного программного обеспечения
- •V. Заключение
3. Прочие инструменты
Помимо этого, в меню Сервис вы можете быстро проверить файл по базе безопасных объектов AVZ, каталогу безопасности Microsoft, высчитать MD5-сумму файла, а также вызвать системные утилиты.
AvzGuard
Технология AVZGuard основана на KernelMode драйвере, который разграничивает доступ запущенных приложений к системе. Драйвер может функционировать в системах, основанных на платформе NT. Основное назначение - борьба с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечения компьютера. Следует помнить, что теоретически между AVZGuard и защитным ПО могут происходить конфликты за счет перехвата одинаковых функций.
В момент активации все приложения делятся на две категории - доверенные и недоверенные. На доверенные приложения драйвер не оказывает никакого влияния, в то время как недоверенным запрещается ряд критических системных операций.
Исходно доверенным является только AVZ, но из меню "AVZGuard\Запустить приложение как доверенное" можно запустить любое приложение. Запускаемое таким образом приложение получает статус доверенного. По умолчанию для доверенных приложений действует принцип наследования доверительных отношений - все запускаемые доверенным приложением процессы также считаются доверенными.
Перед включением системы необходимо закрыть все приложения, кроме AVZ. Это важный момент, поскольку все запущенные приложения в момент запуска начнут считаться недоверенными, и это может заблокировать их работу. На самом деле экспериментально установлено, что большинство приложений сохраняют свою функциональность, так как не совершают блокируемых системой действий. В частности, Internet Explorer, Outlook Express, TheBat продолжают нормально работать в качестве недоверенных приложений.
Особенностью блокировки операций с реестром является то, что операция блокируется, но приложение получает статус успешного выполнения и считает, что реестр был изменен. Это сделано специально для совместимости с рядом программ, которые в случае ошибки записи в реестр начинают работать неадекватно. Логику этой блокировки легко изучить при помощи Regedit - его необходимо запустить до включения AVZGuard, далее включить AVZGuard, и c помощью Regedit изменить значение какого-либо ключа реестра. С точки зрения Regedit операция пройдет успешно, но если обновить данные при помощи F5, то можно убедиться, что реестр не изменился.
В случае, если проводилось лечение системы, необходимо перезагрузиться, не выключая AVZGuard. Это важный момент, связанный с тем, что в системе после лечения могут быть загружены вредоносные DLL, будут продолжать работу троянские потоки и т.п.
Управление AVZGuard идет из контекста утилиты AVZ, в случае завершения работы AVZ контроль над AVZGuard будет потерян и он будет функционировать автономно до перезагрузки.
Система AVZGuard может многократно включаться/отключаться в процессе работы с AVZ по мере необходимости в ограничении работы запущенных процессов.
Поведение различных программ при включенном AVZGuard непредсказуемо, поэтому настоятельно рекомендуется закрыть все приложения перед включением AVZGuard и перезагрузиться после лечение с его использованием. Важно отметить, что AVZGuard не является системой проактивной защиты или антивирусным монитором - активировать его нужно только на время борьбы с трудноудаляемыми malware.
Следует помнить, что после включения AVZGuard антируткит режима ядра блокируется, а антируткит режима UserMode продолжает нормальную работу.
AVZPM
Технология AVZPM основана на KernelMode Boot драйвере, который осуществляет слежение за запуском процессов и загрузкой драйверов. Драйвер написан в строгом соответствии с MSDN и рекомендациями Microsoft для минимизации его воздействия на систему и снижения вероятности конфликта с другим антивирусным программным обеспечением. Вместе с тем постоянная работа драйвера нежелательна: рекомендуется устанавливать его исключительно на время исследования и лечения системы.
Назначение: мониторинг запуска/остановки процессов, мониторинг загрузки/выгрузки драйверов, ведение списков процессов и загруженных модулей пространства ядра, независимых от системных.
Собираемую драйвером информацию используют:
- Антируткит в ходе проверки системы
- Диспетчер процессов AVZ
- Диспетчер "Модули пространства ядра"
- Исследование системы
Применение подобного драйвера является эффективным и документированным путем борьбы со многими DKOM руткитами. Как известно, основная проблема борьбы с DKOM руткитом состоит в том, что он модифицирует системные структуры в памяти и вносит в них заведомо ложную и некорректную информацию. Классический пример - модификация имени процесса и его PID в структуре EPROCESS, практикуемая многими DKOM руткитами. В результате при желании можно обнаружить маскирующийся процесс, но невозможно определить, откуда он запустился, каково имя исполняемого файла и реальный PID его процесса. Аналогично дело обстоит с драйверами - несложно обнаружить маскируемый драйвер в памяти, но практически невозможно вычислить его имя, поскольку грамотно построенный руткит просто уничтожит эту информацию в процессе маскировки. Мониторинг системных событий решает эту проблему - анализатор получает возможность опираться на собственные данные, а не на искаженные руткитом структуры ядра.